La newsletter hebdomadaire Threat Landscape d’Intrinsec vous renseignera sur les dernières menaces informatiques les plus sensibles. Un point d’information régulier traité par la Threat Intelligence et enrichi par le CERT-Intrinsec.

Au programme cette semaine :

    • Détection d’un malware capable d’utiliser le détecteur de mouvement du smartphone
    • Attaque supply chain : le site Web de la bibliothèque PHP Pear compromise pendant six mois
    • Une société de développement à l’origine d’un plugin WordPress piratée par un ancien employé
    • Piratage des serveurs du jeu en ligne ATLAS
    • Un ransomware as a service proposé à la vente sur Telegram
    • Plusieurs sociétés de crédits américaines exposent les données sensibles de clients
    • Retour sur la campagne de diffusion du malware bancaire Redaman
    • Fuite de données : 108 millions d’informations associées à des paris en ligne exposées
    • Notre cellule sinophone s’intéresse à un nouveau malware, utilisé par le groupe Rocke
    • Focus sur les dernières techniques du groupe DarkHydrus APT 

    Bonne lecture et si vous souhaitez creuser l’intérêt d’un service de Threat Intelligence : contactez-nous !

Menaces Sectorielles

Numérique

Trend Micro aurait détecté un malware capable d’utiliser le capteur de mouvement de l’appareil pour contrôler son exécution
Trend Micro aurait récemment détecté deux applications vérolées, contenant un malware bancaire, disponibles sur le Google Play Store. Présentées comme des services utiles pour l’utilisateur (les deux applications étaient baptisées Currency Converter et BatterySaverMobi), ces applications contiendraient en réalité le malware bancaire Anubis, capable de collecter les identifiants bancaires de la victime. La particularité de l’attaque reposerait sur l’idée des pirates d’utiliser les capteurs de mouvement de l’appareil infecté pour faire en sorte que la charge malveillante ne s’exécute que lorsque l’utilisateur est en mouvement. A l’arrêt, le code malveillant demeurerait inactif afin d’éviter tout risque d’analyse forensique, s’il devait s’exécuter dans une sandbox. Les deux applications auraient été retirées du Google Play Store
En savoir plus

Piratage de la bibliothèque PHP Pear : une version malveillante disponible pour téléchargement pendant six mois
D’après les administrateurs du gestionnaire de paquets PEAR (PHP Extension and Application Repository), leur site Web officiel aurait été compromis par des pirates depuis au moins six mois, afin de remplacer la bibliothèque PEAR légitime par une version vérolée contenant une backdoor. Le site Web aurait été mis hors ligne par mesure de précaution mais les responsables de PEAR ont affirmé que la copie Github de « go-pear.phar » n’aurait pas été compromise par les attaquants. PEAR est un outil de distribution de composants PHP réutilisables qui permet aux développeurs PHP de réutiliser des bibliothèques open-source. Tous les utilisateurs de PEAR ayant procédé à une mise à jour durant les six derniers mois sont invités à télécharger la version légitime disponible sur Github.
En savoir plus

Un ex-salarié pirate le plugin WPML
En utilisant une porte dérobée qu’il avait mis en place sur le site Web, un ancien employé a piraté le plugin WordPress WPML. « WP MultiLingual » est un plugin populaire chez WordPress, permettant de proposer une gestion multi-langue pour un site web. Par vengeance, l’ancien salarié a envoyé un mail aux 600 000 clients payants de WPML laissant entendre qu’il était un spécialiste de la cybersécurité et qu’il tenait à les avertir personnellement que le plugin avait des failles, et qu’il  avait signalé plusieurs vulnérabilités à l’équipe de WPML, lesquelles auraient été ignorées. Le courriel invitait les clients à vérifier leurs sites pour trouver des failles possibles. Il a ensuite défacé le site officiel du plugin WordPress pour mettre le même message envoyé aux clients. WPML aurait assuré qu’il s’agissait d’un message adressé par l’un de leurs ex-employés qui serait en colère depuis son départ et assure que ce dernier n’a pas eu accès à des données financières, ni au code source du plugin. L’entreprise affirme avoir prévenu les autorités du piratage dont elle a été victime.
En savoir plus

Gaming

Les serveurs du jeu ATLAS piratés pour gêner les utilisateurs et diffuser des messages de spam
Les serveurs du jeu ATLAS qui se présente comme un MMO (jeux massivement multi-joueurs) sur le thème de la piraterie, auraient été victimes d’une attaque survenue suite au piratage d’un compte administrateur Steam appartenant à l’éditeur de jeu. Le 17 janvier dernier. Le pirate aurait profité de cet accès illégitime pour modifier les paramètres des serveurs de jeu multijoueurs et faire apparaître des objets inadaptés au thème du jeu tels que des avions de chasse ou des tanks. Le 20 janvier, les serveurs multijoueurs auraient également été compromis par un exploit utilisé pour gêner les utilisateurs et diffuser des messages de spam invitant à s’inscrire à la chaîne du youtubeur PiewDiePie.
En savoir plus

Réseau social

Telegram : un nouvel hébergeur de publicité pour les logiciels malveillants ? 
Telegram est une application de messagerie sécurisée fonctionnant sur le principe de « channels » (des canaux privés de discussion). Très populaire chez les pirates amateurs ou chevronnés, le service de messagerie serait également employé pour faire la promotion d’un nouveau ransomware. En effet, un développeur iranien, par l’intermédiaire de channels spécialisés dans le piratage, proposerait à la vente une plateforme de « Ransomware-as-a-service » ainsi que d’autres malwares. Plus précisément, l’auteur de l’annonce offrirait l’utilisation du ransomware BlackRouter comme un service, avec une répartition des bénéfices. 80% irait au client du service, tandis que le développeur garderait 20% des fonds extorqués aux victimes. A l’heure actuelle, peu de cas d’infection ont été recensés mais BlackRouter serait dans le viseur des chercheurs de TrendMicro depuis mai 2018.
En savoir plus

Secteur bancaire

24 millions de documents bancaires exposés sur un serveur
La société de sécurité TechCrunch a récemment découvert qu’une base de données ElasticSearch serait exposée publiquement sur un serveur accessible sans authentification. Parmi les documents exposées sur cette base de données, les chercheurs auraient identifié des contrats de prêts et d’hypothèques, des calendriers de remboursement et d’autres documents financiers et fiscaux extrêmement sensibles révélant l’intimité financière des individus impactés. Les documents, dont les plus anciens seraient datés de 2008, appartiendraient à différentes banques américaines (CitiFinancial – ex-filiale de Citigroup – HSBC Life Insurance, Wells Fargo, CapitalOne), ainsi qu’au département du Logement et du Développement urbain des États-Unis. D’après les experts, la société Ascension, dont l’un des services serait de convertir des documents papiers en fichiers pour ordinateur, serait involontairement à l’origine de cette exposition massive.
En savoir plus

Un malware bancaire refait surface et vise les russophones

Des experts de la société de sécurité informatique Trend Micro ont découvert récemment une nouvelle variante du malware bancaire Redaman, distribuée via des campagnes de spam entre septembre et décembre 2018.  Ce malware a été observé pour la première fois en 2015 et viserait les clients des institutions financières russes. La dernière campagne de spam ciblait des destinataires avec des emails russes, avec des archives Windows exécutables et déguisées en fichiers PDF. Lors du lancement de l’exécutable Windows, le malware recherche une série de fichiers et de répertoires pouvant indiquer que le logiciel malveillant s’exécute dans un environnement virtuel. Il lève ensuite l’exception et se ferme si l’un de ces fichiers est trouvé. Dans un deuxième temps, l’exécutable supprime un fichier DLL dans le répertoire AppData\ Local\ Temp\ et crée un dossier sous C:\ ProgramData\, puis il déplace le fichier DLL dans le dossier créé. Redaman utilise une procédure de raccordement pour surveiller l’activité du navigateur, notamment Chrome, Firefox et Internet Explorer. Il recherche ensuite dans l’hôte local des informations relatives au secteur financier. Le malware bancaire est capable de télécharger des fichiers, enregistrer les frappes du clavier, faire des captures d’écran, enregistrer des vidéos, collecter, exfiltrer des données financières, modifier la configuration DNS, voler les données du presse-papiers, mettre fin aux processus en cours et ajouter des certificats Windows Store.
En savoir plus

Jeu d’argent

108 millions de paris exposés lors de la fuite de données d’un groupe de casino en ligne
Les informations relatives aux parieurs (données personnelles, retrait, dépôt) ainsi qu’à 108 millions de leurs paris auraient été exposées. Conçu pour être utilisé en interne, le serveur ElasticSearch de ce groupe semble pourtant avoir été accessible en ligne sans mot-de-passe, selon le chercheur en sécurité Justin Paine. L’étendue de la fuite serait lié aux caractéristiques du serveur : celui-ci contiendrait des données agrégées de multiples domaines Web, et donc de plusieurs sociétés. Parmi celles-ci, easybet.com, viproomcasino.net ou encore azur-casino.com, mais aussi d’autres sites de jeux non spécialisés dans le casino.
Le serveur en question contiendrait de nombreuses informations sensibles, telles que l’adresse IP, les détails de paiement bancaire, le numéro de téléphone ou encore des détails relatifs au navigateur et au système d’exploitation (OS) ; tout autant d’informations précieuses à la constitution de schémas de fraude ou d’extorsion. A l’heure actuelle, le serveur aurait été rendu indisponible en ligne.
En savoir plus

Individus & Groupes

DarkHydrus APT

Palo Alto partage sa dernière analyse sur les TTPs du groupe DarkHydrus APT
Les chercheurs de l’unité 42 de Palo Alto ont publié une analyse sur les dernières tactiques, techniques et procédures du groupe DarkHydrus APT. Une nouvelle version du trojan RogueRobin utilisé par le groupe aurait été détectée par les chercheurs. Ces derniers ont remarqué que cette nouvelle version du malware serait distribuée via des documents Excel contenant une macro malveillante. La charge malveillante aurait été programmée de telle sorte qu’elle serait capable de vérifier la présence d’une sandbox (environnement sécurisé) ou d’un debugger lors de son exécution. Autre nouveauté constatée par l’unité 42 : cette dernière de RogueRobin permettrait aux pirates d’utiliser l’API Google Drive comme infrastructure C&C et ainsi pouvoir envoyer des instructions au malware et récupérer des informations volées sur le poste. D’après Palo Alto, ce changement dans le comportement des pirates suggère qu’ils pourraient à nouveau exploiter des services cloud légitimes à des fins malveillantes.
En savoir plus

Écosystème sinophone

Des antivirus chinois mis à mal par le groupe Rocke
Alors que Huorong Security découvrait le malware WenkPico, capable de bloquer l’analyse d’échantillons par les antivirus cloud, Palo Alto Networks a publié un rapport sur un malware qui va jusqu’à désinstaller des protections antivirus. Le malware compromet des serveurs Linux et acquiert les droits administrateurs sur les systèmes, ce qui lui permet de désinstaller au moins cinq solutions de protection en cloud des chinois Tencent et Alibaba : Alibaba Threat Detection Service, Alibaba CloudMonitor, Alibaba Cloud, Tencent Host Security et Tencent Cloud Monitor. Le malware détecté est utilisé par le groupe Rocke, qui avait fait l’objet d’un premier rapport de Cisco Talos en juillet 2018. Ce groupe de pirates chinois a pour principal objectif l’installation de mineurs de crypto monnaie (Monero) sur des serveurs Linux.

En savoir plus 

 
Cette newsletter est émise par la cellule de Threat Intelligence.
Ce service fournit aux clients d’Intrinsec un flux de renseignement sur des menaces ciblées, des fuites d’informations, des activités de fraude et une vue pertinente quant à leur exposition sur l’ensemble des couches Internet (du Surface au Dark Web). Les souscripteurs du service bénéficient d’alertes ciblées et de marqueurs liés à ces informations.
Leurs analystes & veilleurs, capables de travailler en français, anglais, arabe, russe & chinois sont appuyés par une plateforme développée par Intrinsec pouvant s’orienter vers des besoins spécifiques.
Pour plus d’informations : www.intrinsec.com

Inscrivez – vous à la Newsletter >>>ici<<<